Le règlement DORA renforce la résilience opérationnelle numérique des entités financières face aux cybermenaces et aux risques liés aux Technologies de l’Information et de la Communication (TIC).
Il améliore la gestion des risques, la détection des incidents ainsi que la maîtrise des risques liés aux tiers. Il mobilise dirigeants, CISO, IT, Risques, Conformité …et autres acteurs pour assurer une réponse coordonnée et garantir la continuité des activités.
Enfin, DORA concerne aussi les prestataires de services TIC du secteur financier.
Playback of this video is not currently available
Avec l’entrée en application du règlement DORA le 17 janvier 2025, il est essentiel d’évaluer votre niveau de conformité aux nouvelles exigences tout en renforçant de manière continue la résilience de votre organisation. PwC vous accompagne dans une analyse approfondie pour identifier les écarts, structurer un plan d’actions adapté. Sur la base de recommandations détaillées, nous définissons avec vous une feuille de route pragmatique, garantissant une mise en conformité progressive et alignée sur vos priorités opérationnelles et objectifs stratégiques.
Au-delà de la mise en conformité, le passage en mode run implique un pilotage continu et proactif de votre résilience pour assurer son efficacité et son agilité face aux menaces émergeantes. Nous vous aidons à mettre en place un cadre d’amélioration continue, intégrant des mécanismes de surveillance, des tests réguliers et alignés avec votre stratégie de résilience opérationnelle numérique. Cette approche vous permet de renforcer durablement votre capacité de réponse aux incidents, d’anticiper les évolutions et transformer la résilience en un véritable levier de performance et de confiance dans votre organisation.
Dans un environnement où les risques évoluent en permanence, vous devez disposer d’un programme structuré pour sensibiliser et former vos équipes aux enjeux de la cybersécurité et de la résilience opérationnelle numérique. Cela passe par le développement de sessions de formation ciblées, adaptées aux rôles et responsabilités de chacun, afin d’améliorer la compréhension des risques et les capacités nécessaires pour identifier, prévenir et répondre efficacement aux cybermenaces et aux incidents liés aux TIC.
Il est également essentiel d’accompagner vos administrateurs, votre Direction Générale et vos fonctions clés dans la compréhension des obligations renforcées par DORA, en leur fournissant des outils concrets pour anticiper, gérer les risques et assurer une prise de décision éclairée face aux incidents.
Dans un contexte de menaces croissantes, il est indispensable de disposer d’un cadre de gouvernance et de gestion des risques liés aux TIC robuste, adapté à la taille et aux activités de votre organisation. Ce cadre doit garantir un niveau élevé de résilience opérationnelle numérique en cohérence avec vos objectifs stratégiques. PwC vous accompagne dans la mise en place du dispositif de gestion des risques liés aux TIC, conformément aux exigences réglementaires et aux meilleures pratiques du secteur, en veillant à son adéquation avec les spécificités de votre organisation. Ensuite, PwC vous assiste dans l’évaluation annuelle de ce dispositif, dont le livrable est le rapport sur le réexamen du cadre de gestion des risques liés aux TIC. De plus, PwC accompagne les banques dans la complétion de l’annexe spécifique du rapport de contrôle interne (RACI) destinée à l’autorité compétente. Ainsi, l’optimisation continue de vos dispositifs de prévention, de détection et de réponse aux incidents constitue un levier clé pour renforcer votre résilience et assurer la pérennité de vos activités.
Face aux risques de dépendance et de vulnérabilités liées aux prestataires de services TIC, vous devez disposer d’un cadre structuré pour piloter efficacement ces prestataires et gérer les risques associés. Cela implique notamment la mise en place d’un registre complet mis à jour régulièrement. Une revue contractuelle des services TIC est essentielle pour garantir leur alignement avec les exigences DORA et optimiser leur qualité, performance et résilience.
Enfin, la mise en place d’une gouvernance adaptée permet d’anticiper les risques, de définir des stratégies de sortie éventuelles et d’assurer la continuité des activités critiques.
Face à l’évolution constante des cybermenaces, vous devez disposez d’un cadre structuré pour tester et renforcer votre résilience opérationnelle numérique. Cela passe par le développement d’un programme rigoureux de tests, incluant notamment des tests de type intrusion ou de Threat-Led Penetration Testing (TLPT), mais également des tests réguliers et structurés de continuité. L’identification des vulnérabilités et des axes d’amélioration permettra de mettre en œuvre rapidement des actions correctrices.
Enfin, des audits de conformité réguliers facilitent l’évaluation des progrès et l’adaptation continue des dispositifs de résilience, garantissant ainsi une posture proactive face aux cybermenaces et la limitation des perturbations des activités critiques.
De l’analyses d’écart à la mise en place
Accompagnement d’un établissement de crédit dans l’identification de ses écarts avec le règlement, la définition d’un plan d’actions pragmatique et l’assistance à la mise en œuvre de ses recommandations.
En moins d’une année, l’établissement a pu bénéficier d’un apport concret méthodologique et opérationnel de PwC.
Mise en place et automatisation du registre d’information
PwC a accompagné un groupe mutualiste dans l’identification et l’analyse du périmètre des prestataires de services TIC, ainsi que dans la complétion du registre recensant l’ensemble des contrats conclus avec ces tiers. Nous avons conçu une solution de complétion automatique du registre permettant un gain d’efficacité significatif. Au-delà de l’outil, PwC a également apporté une expertise sur la stratégie globale d’outillage pour la gestion des risques liés aux prestataires.
Réalisation d’un exercice TLPT TIBER-EU
Exécution d’un Red Team, selon une méthodologie structurée, basée sur le renseignement de la menace dans le but :
Combinant l'ingéniosité humaine, l'expérience et l'innovation technologique pour obtenir des résultats durables et construire la confiance, nous assemblons les compétences d’équipes pluridisciplinaires pour apporter une réponse sur mesure et de haute qualité à vos enjeux.
Romain Camus
Associé, Gestion des risques technologiques, secteur Banque, PwC France et Maghreb
Karine Pariente
Associée, Gestion des risques technologiques, secteur Assurance, PwC France et Maghreb